Der Thü­rin­ger Lan­des­be­auf­trag­te für den Daten­schutz und die In­for­ma­ti­ons­frei­heit (TLfDI) hat den Safer In­ter­net Day 2024 genutzt, um über sich hart­nä­ckig hal­ten­den Da­ten­schut­zirr­tü­mer aufzuklären.

Nach­ste­hend ein paar Irrtümer:

Daten­schutz will Di­gi­ta­li­sie­rung verhindern
Nein. Di­gi­ta­li­sie­rung, aber rechts­kon­form und mit Datenschutz.

DSGVO gilt nicht für Pri­vat­per­so­nen, sondern nur für Un­ter­neh­men, Be­hör­den und Betriebe
Nein. Ver­ant­wort­li­cher kann jede na­tür­li­che und ju­ris­ti­sche Person, Behörde, Ein­rich­tung oder andere Stelle sein, die über die Zwecke und Mittel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det (Art. 4 Nr. 7 DSGVO). Auch Pri­vat­per­so­nen können daten-schut­z­­rech­t­­lich ver­ant­wort­lich gemacht werden.

Mit einer Ein­wil­li­gung ist alles erlaubt
Nein. Die Ein­wil­li­gung wird nur für einen be­stimm­ten Zweck erteilt. Darüber hinaus dürfen per­so­nen­be­zo­ge­ne Daten nicht genutzt werden.      Eine Ein­wil­li­gung muss u.a. immer frei­wil­lig und in­for­miert sein. Sie kann je­der­zeit wi­der­ru­fen werden.

Werden Daten pseud­ony­mi­siert ent­fällt die An­wen­dung der DSGO
Nein. Pseud­ony­mi­sier­te Daten können mit zu­sätz­li­chen Hilfs­mit­teln in ihre Aus­gangs­da­ten zu­rück­ge­führt werden.

DSGVO gilt nur für die elek­tro­ni­sche Datenverarbeitung
Stimmt nicht. Die DSGVO gilt auch für analoge Ver­ar­bei­tun­gen („Pa­pier­form“) von Daten (Art. 2 Abs. 2 DSGVO).

DSGVO ist so streng
Dies ist nicht der Fall. Die Re­ge­lun­gen zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in der DSGVO sind ge­gen­über der bis­he­ri­gen Da­ten­­­schutz-Rich­t­­li­­nie und ihrer da­ma­li­gen Um­set­zung nicht nur weit­ge­hend gleich­ge­blie­ben, sondern die DSGVO hat darüber hinaus das Daten-schut­z­­recht weit­ge­hend harmonisiert.
Dadurch ist der Da­ten­ver­kehr in­ner­halb Europas (EU/EWR) deut­lich ein­fa­cher ge­wor­den, was ein er­klär­tes, leider oft über­se­he­nes Ziel der DSGVO ist. Au­ßer­dem gilt die DSGVO auch für Ver­ant­wort­li­che au­ßer­halb der EU/EWR, wenn sie Daten von Per­so­nen in­ner­halb der EU verarbeiten.

Nur größere „Da­ten­pan­nen“ müssen der Auf­sichts­be­hör­de ge­mel­det werden
Dies ist nicht der Fall. Eine Da­ten­pan­ne ist der Auf­sichts­be­hör­de bei einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten mög­lichst binnen 72 Stunden nach Be­kannt­wer­den der Ver­let­zung zu melden.
Eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten ist gem. Art. 4 Nr. 12 DSGVO eine Ver­let­zung der Si­cher­heit, die, ob un­be­ab­sich­tigt oder un­recht­mä­ßig, zur Ver­nich­tung, zum Verlust, zur Ver­än­de­rung oder zur un­be­fug­ten Wei­ter­ga­be von bzw. zum un­be­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten führt, die über­mit­telt, ge­spei­chert oder auf sons­ti­ge Weise ver­ar­bei­tet wurden.
Der für die Ver­ar­bei­tung Ver­ant­wort­li­che muss dies gemäß den Grund­sät­zen der Re­chen­schafts­pflicht nach­wei­sen. Da die Fälle, in denen wirk­lich kein Risiko besteht, sehr be­grenzt sind, ist eine Meldung nach Art. 33 DSGVO auch bei ge­ring­fü­gi­gen Vor­fäl­len in der Regel unumgänglich.

Prüfung der Um­set­zung der DSGVO, ins­be­son­de­re der Si­cher­heit der Ver­ar­bei­tung nach Art. 32 DSGVO, ist nur einmal zu Beginn durchzuführen. 
Dies ist nicht der Fall. Nach der DSGVO sind die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men (TOM) nicht nur ein­ma­lig um­zu­set­zen, viel­mehr ist ein Ver­fah­ren zur re­gel­mä­ßi­gen Über­prü­fung, Be­wer­tung und Eva­lu­ie­rung der Wirk­sam­keit der TOM vor­zu­se­hen (Art. 32 Abs. 1 lit. d DSGVO). Die ak­tu­el­le An­ge­mes­sen­heit der TOM ori­en­tiert sich dabei jeweils am Stand der Technik.
Ins­be­son­de­re das Auf­tre­ten von Da­ten­pan­nen kann dazu führen, dass be­stehen­de Pro­zes­se und tech­ni­sche Um­set­zun­gen einer er­neu­ten Über­prü­fung un­ter­zo­gen werden müssen.

In eine Da­ten­schutz­er­klä­rung muss ein­ge­wil­ligt werden
Nein. Ein weit ver­brei­te­ter Irr­glau­be im Zu­sam­men­hang mit der Ein­wil­li­gung be­trifft die Datenschutzerklärung.
Mit einer Da­ten­schutz­er­klä­rung – besser ist der Begriff „Da­ten­schutz­hin­wei­se“ – erfüllt der Ver­ant­wort­li­che seine In­for­ma­ti­ons­pflich­ten ge­gen­über der be­trof­fe­nen Person, u.a. ge­gen­über den Be­schäf­tig­ten, den Kunden, den Nutzern und Geschäftspartnern.
Diese In­for­ma­tio­nen­pflich­ten dienen, wie der Name schon sagt, le­dig­lich zur In­for­ma­ti­on der be­trof­fe­nen Person und in­for­mie­ren u.a. über Zwecke der Ver­ar­bei­tung, Emp­fän­ger der Daten, Spei­cher­dau­er, etc. (Art. 12 ff. DSGVO), eine Be­stä­ti­gung der Kennt­nis­nah­me oder Zu­stim­mung ist nicht er­for­der­lich und sollte auch aus zivil- und ver­trags­recht­li­chen Gründen nicht ein­ge­for­dert werden.

Weitere Irr­tü­mer im Daten­schutz – Pres­se­mit­tei­lung des TLfDI: https://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2024/240202_PM_SID.pdf 

Haben Sie Fragen zu diesem oder anderen Themen?
Wir stehen wir Ihnen gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!